FANTOMPULS PODGANA
Pojavila se je sofisticirana kampanja socialnega inženiringa, ki izkorišča Obsidian kot začetni vektor dostopa za namestitev prej nedokumentiranega trojanskega konja za oddaljeni dostop do sistema Windows, znanega kot PHANTOMPULSE. Kampanja je posebej usmerjena na posameznike, ki delujejo v finančnem sektorju in sektorju kriptovalut, ter izkorišča zaupanje v legitimna orodja za zaobhajanje tradicionalnih varnostnih pričakovanj.
Kazalo
Operacija REF6598: Prevara prek profesionalnih omrežij
Raziskovalci kibernetske varnosti so kampanjo označili kot REF6598 in uporablja napredne tehnike socialnega inženiringa prek LinkedIna in Telegrama. Tarče se sprva kontaktirajo pod pretvezo sodelovanja s podjetjem tveganega kapitala. Pogovori se nato preusmerijo v skupinske klepete Telegrama, v katerih sodelujejo lažni »partnerji«, kar ustvarja prepričljivo fasado legitimnosti.
Znotraj teh skupin se razprave vrtijo okoli finančnih storitev in strategij likvidnosti kriptovalut, kar krepi verodostojnost. Žrtve so na koncu poučene, da dostopajo do skupne nadzorne plošče prek Obsidian trezorja v oblaku z uporabo posredovanih poverilnic.
Skriti sprožilec: Aktivacija zlonamernega trezorja
Veriga okužbe se aktivira, ko žrtev odpre skupni trezor v Obsidianu. Na tej stopnji je uporabnik pozvan, da omogoči sinhronizacijo za »Nameščene vtičnike skupnosti«, kar je funkcija, ki je privzeto onemogočena. Ta ročni ukrep je ključnega pomena, saj omogoča izvajanje vgrajenih zlonamernih konfiguracij.
Napadalci izkoriščajo legitimne vtičnike, zlasti Shell Commands in Hider, za zagon nepooblaščene kode. Medtem ko Shell Commands olajša izvajanje, Hider skrije elemente vmesnika, kot sta vrstica stanja in opisi orodij, kar zmanjša verjetnost odkritja. Napad v celoti temelji na prepričevanju uporabnika, da omogoči sinhronizacijo vtičnikov, s čimer zaobide vgrajene zaščitne ukrepe.
Izogibanje po načrtu: Živeti od legitimnih funkcij
Ta kampanja izstopa po strateški zlorabi zaupanja vrednih funkcionalnosti aplikacij in ne po izkoriščanju ranljivosti programske opreme. Ključne značilnosti vključujejo:
- Zlonamerni koristni tovori so vdelani v konfiguracijske datoteke JSON, zaradi česar je manj verjetno, da bodo sprožili tradicionalno protivirusno zaznavanje.
- Izvajanje se izvaja prek podpisane aplikacije, ki temelji na Electronu, kar otežuje zaznavanje na podlagi nadrejenega procesa.
- Vztrajnost in izvajanje ukazov sta v celoti odvisna od legitimnih mehanizmov vtičnikov znotraj aplikacije
Veriga okužbe sistema Windows: od nalagalnika do pomnilniško rezidenčnih zadnjih vrat
V sistemih Windows napad sproži izvajalno verigo, ki temelji na PowerShellu in namesti vmesni nalagalnik z imenom PHANTOMPULL. Ta nalagalnik dešifrira in zažene PHANTOMPULSE neposredno v pomnilniku, s čimer se izogne zaznavanju na disku.
PHANTOMPULSE vključuje ločljivost ukazov in nadzora (C2) na osnovi tehnologije veriženja blokov s poizvedovanjem v omrežju Ethereum. Pridobi najnovejšo transakcijo, povezano s trdo kodiranim naslovom denarnice, da dinamično določi svoj strežnik C2. Komunikacija poteka prek WinHTTP, kar omogoča izvlečenje podatkov, pridobivanje ukazov in poročanje o izvajanju.
Zlonamerna programska oprema podpira širok nabor zmogljivosti oddaljenega upravljanja:
- inject: v procese vbrizga shellcode, DLL-je ali izvedljive datoteke
- drop: zapisuje in izvaja datoteke na disku
- posnetek zaslona: zajame in naloži podatke zaslona
- dnevnik tipk: omogoči ali onemogoči beleženje pritiskov tipk
- odstranitev: odstrani mehanizme vztrajnosti in počisti artefakte
- elevate: poveča privilegije na SYSTEM z uporabo COM elevance
- znižanje: zniža privilegije s sistemske na administratorsko raven
Različica macOS: Zatemnitev in prilagodljiva infrastruktura C2
V sistemu macOS napad izkorišča zakriti AppleScript, ki se dostavlja prek istega mehanizma vtičnika. Skript kroži po vnaprej določenem seznamu domen in uporablja Telegram kot rezervno rešitev za odkrivanje C2. Ta zasnova omogoča hitro rotacijo infrastrukture, zaradi česar so tradicionalne strategije blokiranja domen neučinkovite.
Zadnja faza vključuje pridobivanje in izvajanje sekundarnega koristnega tovora prek osascripta. Vendar pa zaradi neaktivnih strežnikov C2 v času analize ostajajo celotne zmogljivosti tega koristnega tovora nedoločene.
Izid napada in strateške posledice
Opazovani vdor je bil na koncu neuspešen, saj so obrambni ukrepi napad zaznali in blokirali, še preden so bili cilji doseženi. Kljub temu REF6598 poudarja pomemben razvoj metodologije akterjev groženj.
Z izkoriščanjem zaupanja vrednih aplikacij in zanašanjem na spremembe konfiguracije, ki jih sprožijo uporabniki, nasprotniki učinkovito zaobidejo običajne varnostne kontrole. Ta pristop poudarja naraščajoči trend: uporabo legitimnih funkcij programske opreme kot prikritih kanalov za izvajanje, kar poudarja potrebo po večji ozaveščenosti uporabnikov in spremljanju vedenja v kibernetski varnostni obrambi.
